Schéma de certification : ce qu’il faut retenir de l’interview de Sébastien Ziegler (Europrivacy) lors du Printemps des DPO

Dans le cadre des matinales du Printemps des DPO, Digitemis a participé le 8 décembre dernier à l’interview de Sébastien Ziegler, président du Comité international d’experts en protection des données Europrivacy, il a abordé le sujet de la certification des traitements de données personnelles. Le schéma de certification approuvé par l’EDPB a donné lieu à deux ans de discussions avec les autorités de protection des données. Désormais les organismes de certification doivent se faire accréditer par une autorité nationale. Les certifications seront valables sur tout le territoire de l’Espace économique européen. 

Sommaire

1. Qui est concerné par le schéma de certification ?

Un organisme privé, public, responsable de traitement comme sous-traitant peut obtenir une certification en se soumettant au mécanisme d’Europrivacy depuis octobre 2022.

2. Pourquoi un tel processus de certification ?

L’outil de certification permettra de certifier un ou plusieurs traitements afin de donner confiance à des partenaires ou personnes concernées mais également de réduire les risques pour ces personnes.

3. Les différentes étapes pour obtenir la certification

Le schéma de certification comprend plusieurs phases :

• L’organisme qui souhaite se faire certifier devra d’abord documenter la conformité du traitement avec les critères officiels de l’Europrivacy.

• La diversité des traitements de données personnelles existant a amené à la définition de critères de certification universels (s’appliquant à tous les traitements de données) et complémentaires (par exemple pour des traitements de données sensibles).

• Ces critères sont susceptibles d’évoluer selon les opinions de l’EDPB ou des autorités nationales. 

• Une fois le traitement documenté, on entre dans la phase de certification. C’est un organisme qualifié indépendant et certifié qui valorise le travail de conformité. Cette certification, fondée sur le Règlement Général sur la Protection des Données (RGPD), prend en compte les obligations nationales spécifiques du pays dans lequel est implanté l’organisme.

4. La dernière phase du processus de certification : suivi et amélioration continue

Suite à l’obtention de la certification du traitement, la dernière phase est celle du suivi et de l’amélioration continue de la certification obtenue et de sa valorisation. La plateforme de ressources en ligne permet d’aller encore plus loin. Des outils ont été déployés comme l’académie en ligne qui permet de se former sur le schéma de certification ou la plateforme de ressources en ligne.

Le schéma de certification se veut agile, de sorte à ce que les retours des acteurs concernés sur sa mise en œuvre puissent être pris en compte et ainsi permettre une amélioration du processus. Nous sommes désormais dans l’attente de l’accréditation, par les autorités nationales, d’organismes de certification. 

Les autres articles d’Alice Picard, Juriste Consultante Protection des Données Digitemis

Développement du métavers : ce que dit le rapport de la mission exploratoire

Initiée par plusieurs ministères (dont ceux de l’Économie et de la Culture), la mission exploratoire sur le développement des métavers a récemment rendu son rapport et ses conclusions. Les auteurs de ce rapport ont établi des constats, identifié les enjeux sous-jacents et émis des propositions sur le sujet. Décryptage par Alice Picard, notre juriste consultante en protection des données.

Lire l’article

Métavers : les enjeux juridiques et cyber (2/2)

Le métavers et ses multiples usages obligent les acteurs du numérique à s’adapter à la nouvelle donne. Plusieurs branches du droit sont concernées par l’expansion de cet espace virtuel. Alice Picard, juriste consultante en Protection des Données chez Digitemis, détaille dans son nouvel article les enjeux juridiques et cyber du métavers.

Lire l’article

Je partage